As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Migre seu provedor de armazenamento de chaves (KSP) do SDK do AWS CloudHSM cliente 3 para o SDK do cliente 5
Este tópico explica como migrar seu provedor de armazenamento de chaves (KSP) do SDK do AWS CloudHSM cliente 3 para o SDK do cliente 5. Para obter informações sobre os benefícios da migração, consulteBenefícios do AWS CloudHSM Client SDK 5.
Em AWS CloudHSM, você usa o AWS CloudHSM Client Software Development Kit (SDK) para realizar operações criptográficas. O Client SDK 5 é o SDK principal que recebe novos recursos e atualizações de suporte à plataforma.
Para obter instruções de migração para todos os provedores, consulteMigração do SDK do AWS CloudHSM cliente 3 para o SDK do cliente 5.
Migrar para o Client SDK 5
-
Instale o KSP (Key Storage Provider) do Client SDK 5 na sua instância do Windows Server. Para instruções, consulte Instale o provedor de armazenamento de chaves (KSP) para o AWS CloudHSM Client SDK 5.
-
Configure seu provedor de armazenamento de chaves (KSP) do Client SDK 5 usando o novo formato de arquivo de configuração e a ferramenta de inicialização da linha de comando. Para instruções, consulte Bootstrap o Client SDK.
-
O Key Storage Provider (KSP) para AWS CloudHSM Client SDK 5 inclui o modo de SDK3 compatibilidade para oferecer suporte aos principais arquivos de referência gerados em. SDK3 Para obter mais informações, consulte SDK3 modo de compatibilidade do Key Storage Provider (KSP) para AWS CloudHSM.
nota
Você deve ativar o modo de SDK3 compatibilidade ao usar os arquivos de referência de chave gerados pelo Client SDK 3 com o Client SDK 5.
Migrar para novas instâncias do Windows Server
-
Conclua todas as etapas em Migrar para o Client SDK 5 em suas novas instâncias do Windows Server.
-
Verifique se há arquivos de referência chave existentes
Em sua instância original do Windows Server, verifique os arquivos de referência chave em
C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition.-
Se existirem arquivos de referência chave, copie todo o conteúdo em
C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSPInclusiveGlobalPartitionpara o mesmo caminho de diretório na sua nova instância do Windows Server. Crie o diretório se ele não existir. -
Se os arquivos de referência chave não existirem, use
cloudhsm-cli key generate-file --encoding ksp-key-referenceem sua nova instância do Windows Server para criá-los. Para instruções, consulte Gerando referências de chave KSP (Windows).
-
-
Verifique o certificado raiz
Verifique seu certificado raiz nas autoridades de certificação raiz confiáveis:
PS C:\Users\Administrator\Desktop> certutil -store Root Root "Trusted Root Certification Authorities" ================ Certificate 0 ================ Serial Number:certificate-serial-numberIssuer: CN=MYRootCA NotBefore: 2/5/2020 1:38 PM NotAfter: 2/5/2021 1:48 PM Issuer: CN=MYRootCA Signature matches Public Key Root Certificate: Subject matches Issuer Cert Hash(sha1):cert-hashNo key provider information Cannot find the certificate and private key for decryption. CertUtil: -store command completed successfully.nota
Anote o número de série do certificado para uso na próxima etapa.
-
Exportar certificado raiz
Exporte o certificado raiz para um arquivo:
certutil -store Rootcertificate-serial-numberroot-certificate-name.cer -
Verifique o certificado de back-end do HSM
Verifique seu certificado de back-end do HSM no repositório de certificados pessoais:
PS C:\Users\Administrator\Desktop> certutil -store My my "Personal" ================ Certificate 0 ================ Serial Number:certificate-serial-numberIssuer: CN=MYRootCA NotBefore: 2/5/2020 1:38 PM NotAfter: 2/5/2021 1:48 PM Subject: CN=www.mydomain.com, OU=Certificate Management, O=Information Technology, L=Houston, S=Texas, C=US Non-root Certificate Cert Hash(sha1):cert-hashKey Container =key-container-nameProvider = Cavium Key Storage Provider Private key is NOT exportable Encryption test passed CertUtil: -store command completed successfully.nota
Anote o número de série do certificado para uso na próxima etapa.
-
Exportar certificado de back-end HSM
Exporte o certificado de back-end do HSM para um arquivo:
certutil -store Mycertificate-serial-numbersigned-certificate-name.cer -
Importar certificado raiz
Na sua nova instância do Windows:
-
Copie o arquivo CA raiz para sua nova instância do Windows
-
Importe o certificado:
certutil -addstore Rootroot-certificate-name.cer
-
-
Verifique a instalação do certificado raiz
Confirme se o certificado raiz está instalado corretamente:
PS C:\Users\Administrator\Desktop> certutil -store Root Root "Trusted Root Certification Authorities" ================ Certificate 0 ================ Serial Number:certificate-serial-numberIssuer: CN=MYRootCA NotBefore: 2/5/2020 1:38 PM NotAfter: 2/5/2021 1:48 PM Issuer: CN=MYRootCA Signature matches Public Key Root Certificate: Subject matches Issuer Cert Hash(sha1):cert-hashNo key provider information Cannot find the certificate and private key for decryption. CertUtil: -store command completed successfully. -
Importar certificado de back-end HSM
Na sua nova instância do Windows:
-
Copie o certificado de back-end do HSM para sua nova instância do Windows
-
Importe o certificado:
certutil -addstore Mysigned-certificate-name.cer
-
-
Verifique a instalação do certificado de back-end do HSM
Confirme se o certificado de back-end do HSM está instalado corretamente:
PS C:\Users\Administrator\Desktop> certutil -store My my "Personal" ================ Certificate 0 ================ Serial Number:certificate-serial-numberIssuer: CN=MYRootCA NotBefore: 2/5/2020 1:38 PM NotAfter: 2/5/2021 1:48 PM Subject: CN=www.mydomain.com, OU=Certificate Management, O=Information Technology, L=Houston, S=Texas, C=US Non-root Certificate Cert Hash(sha1):cert-hashNo key provider information Cannot find the certificate and private key for decryption. CertUtil: -store command completed successfully.nota
Anote o número de série do certificado para uso nas etapas subsequentes.
-
Crie um arquivo de referência chave (opcional)
Conclua essa etapa somente se precisar criar um novo arquivo de referência de chave. Caso contrário, siga para a próxima etapa.
nota
Esse recurso está disponível somente na versão 5.16.0 e posterior do SDK.
-
Instale o OpenSSL
e extraia o módulo: openssl x509 -insigned-certificate-name.cer -modulus -nooutnota
O comando OpenSSL gera o módulo no formato:.
Modulus=Observe omodulus-valuemodulus-valuepara uso no próximo comando. -
Crie um arquivo de referência chave com a CLI do CloudHSM, consulte: Gerando referências de chave KSP (Windows)
& "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" key generate-file --encoding ksp-key-reference --filter attr.class=private-key attr.modulus=0xmodulus-valuenota
Os argumentos do comando
modulus-valuena CLI do CloudHSM devem ser0xprefixados com para indicar o formato hexadecimal.Os principais arquivos de referência são criados em
C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition.
-
-
Criar configuração de reparo
Crie um arquivo chamado
repair.txtcom o seguinte conteúdo:[Properties] 11 = "" ; Add friendly name property 2 = "{text}" ; Add Key Provider Information property _continue_="Container=key-container-name&" _continue_="Provider=Cavium Key Storage Provider&" _continue_="Flags=0&" _continue_="KeySpec=2"nota
key-container-nameSubstitua pelo nome do arquivo de referência chave de.C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition -
Loja de certificados de reparo
Execute o comando de reparo:
certutil -repairstore Mycertificate-serial-numberrepair.txtnota
O número de série do certificado é obtido nas etapas anteriores ao verificar a instalação do certificado de back-end do HSM.
-
Verifique a associação do certificado
Confirme se o certificado está associado corretamente:
PS C:\Users\Administrator\Desktop> certutil -store My my "Personal" ================ Certificate 0 ================ Serial Number:certificate-serial-numberIssuer: CN=MYRootCA NotBefore: 2/5/2020 1:38 PM NotAfter: 2/5/2021 1:48 PM Subject: CN=www.mydomain.com, OU=Certificate Management, O=Information Technology, L=Houston, S=Texas, C=US Non-root Certificate Cert Hash(sha1):cert-hashKey Container =key-container-nameProvider = Cavium Key Storage Provider Private key is NOT exportable ERROR: Could not verify certificate public key against private key CertUtil: -store command completed successfully.Verifique se a saída mostra:
-
O nome correto do contêiner de chaves
-
O provedor de armazenamento Cavium Key
-
Esse
ERROR: Could not verify certificate public key against private keyé um problema conhecido, consulte Problema: falha na verificação de um armazenamento de certificados
-
-
Testar a aplicação
Antes de concluir a migração:
-
Teste seu aplicativo em seu ambiente de desenvolvimento
-
Atualize seu código para resolver quaisquer alterações importantes
-
Para obter orientação específica do aplicativo, consulte Integrar aplicativos de terceiros com AWS CloudHSM
-
Verifique a migração
Depois de concluir as etapas de migração, verifique se:
-
Seus certificados estão instalados corretamente nos repositórios de certificados corretos
-
Os principais arquivos de referência estão presentes no local correto
-
Seu aplicativo pode realizar operações criptográficas usando os certificados migrados.
Solução de problemas
Se você encontrar problemas durante a migração, verifique:
-
Todos os certificados são exportados corretamente do sistema de origem
-
Os números de série do certificado coincidem entre os sistemas
-
Os nomes dos contêineres principais no arquivo repair.txt correspondem aos seus arquivos de referência principais
-
SDK3 o modo de compatibilidade é ativado se estiver usando arquivos SDK3 de referência de chave gerados
Tópicos relacionados
